Von Moritz Bachmann publiziert am 24. August 2018

Neue Sicherheitsfeatures in Magento – Google reCAPTCHA und 2FA

Fast 80% der Internetnutzer glauben, dass Ihre persönlichen Daten im Internet nicht sicher sind. Kein Wunder, denn Angriffe auf kundenrelevante Informationen in Webshops wirken sich massiv negativ auf das Vertrauen der Verbraucher und in Conversions und Umsätzen der Betreiber aus. Für erfolgreiche E-Commerce-Plattformen ist es also unternehmenskritisch, dass ein hohes Sicherheitsniveau gewährleistet ist. Die reCAPTCHA- und 2FA-Authentifizierungsmodule, welche ab Magento Open Source, Commerce und Commerce (Cloud) ab Version 2.1 und höher zur Verfügung stehen, ermöglichen einen zusätzlichen Layer an Sicherheit in Magento-Shops. Sie schützen vor unberechtigten Zugriffen und reduzieren Spam.

Was sind 2FA und Google reCAPTCHA? 

Google reCAPTCHA

reCAPTCHA bietet verbesserte Sicherheit für das Magento Storefront und im Admin-Panel. Mit reCAPTCHA können Kunden gegenüber Bots sehr einfach verifiziert werden. Z.B. bei der Erstellung von Kundenkonten, dem Abruf von neuen Passwörtern oder in Kontaktformularen.

magento-admin-recaptcha

Auf diese Weise können die Erstellung von Fake-Profilen, Spam in Kontaktformularen und die Gefahr von Brute-Force Attacken im Admin-Bereich deutlich reduziert werden.

Die Verifizierung erfolgt mit einem einfachen Klick auf die Checkbox. Anhand von IP-Adresse des Nutzers, seiner Verweildauer auf der Seite und seinen Mausbewegungen errechnet ein Algorithmus die Wahrscheinlichkeit, dass es sich um einen menschlichen Benutzer handelt.

magento-google-recaptcha

Das Google reCAPTCHA Modul recaptcha:2.0.0 wir über den Composer installiert und muss danach aktiviert werden.
Über die Commando Zeile php bin/magento msp:security:recaptcha:disable kann reCAPTCHA für den Admin-Bereich deaktiviert werden.

Zusätzlich zur bekannten reCAPTCHA Funktionalität mit On-Click-Funktion, gibt es noch die Möglichkeit Invisible reCAPTCHA einzusetzen. Hierbei wird die Verifizierung im Hintergrund und ohne Benutzerinteraktion durchgeführt. Benutzer und Kunden werden automatisch verifiziert, ohne auf etwas zu klicken zu müssen.

Google reCAPTCHA kann auf der Admin-Anmeldeseite und auf verschiedenen Kundenseiten im Storefront eingesetzt werden. Die Styling-Optionen beinhalten die Wahl zwischen einem hellen oder dunklen Theme und in normaler sowie kompakter Größe zur Verfügung gestellt.

recaptcha-styles

Google reCAPTCHA reduziert damit potenzielle Benutzerfehler bei der Eingabe einer Reihe von Buchstaben und Zahlen und fördert die Konvertierung von Warenkörben ohne zusätzliche Hürden während des Bestellvorgangs zu schaffen.

2-Faktor Authentifizierung

Selbst ein starkes Passwort schützt nicht vor unberechtigten Zugriffen. Deshalb haben viele Websites wie Google, Apple, Facebook, Amazon Web Services, uvm. eine Zwei-Faktor-Authentifizierung implementiert. Sogar Google empfiehlt dringend, diese Art von Schutz auf jeder Website zu verwenden, um Daten zuverlässig zu schützen. Dieses System verwendet dabei ein Nutzerpasswort und z.B. Smartphone oder USB Security Token als 2. Faktor, um Nutzerkonten auch im Fall von kompromittierten Passwörtern zu schützen.

Im Magento Admin-Panel kann auf sämtliche Shop-, Bestell- und Kundendaten zugegriffen werden. Um die Sicherheit in diesem unternehmenskritischen Bereich noch weiter zu erhöhen kann die Two-Factor Authentication (2FA) eingesetzt werden. Der Einsatz von 2FA ist dabei auf Admin-Benutzerkonten beschränkt.

Zuerst muss dazu das Modul twofactorauth:3.0.0 über den Composer installiert und aktiviert werden. Nach der Aktivierung und Konfiguration von Magento Two-Factor-Authentifizierung  müssen die unterstützten Authentifikatoren z.B. auf ein mobiles Endgerät installiert werden.

Aktuell werden folgende Authentifikatoren unterstützt:

  • Google-Authentifikator (Mobile App zur Codegenerierung)
  • Authy (SMS, Anruf, Token und one-touch)
  • U2F Keys (Device zur Authentifizierung, YubiKey und andere Modelle werden unterstützt)
  • Duo Security (SMS und Push-Benachrichtigung)

Im Magento Adminbereich kann der Authentifikator im Anschluss konfiguriert werden. Im Fall von Google wird beispielsweise eine QR-Code zur Verfügung gestellt, um den Zugriff bei der Anmeldung im Adminbereich zu konfigurieren.

magento-admin-2fa

Anmeldungen die mit neuen Endgeräten vorgenommen werden, erfordern den eingegebenen Code oder das angeschlossene Gerät, um eine Verifizierung vornehmen zu können.

magento-admin-2fa

Fazit

Wer in seinem Shop unter Fake-Profilen, Spam in Kontaktformularen oder Angriffen auf den Admin-Bereich leidet sollte dringend darüber nachdenken zusätzliche Sicherheits-Features in seinem Shop zu implementieren. Der Implementierungsaufwand ist überschaubar und Sie als Shopbetreiber wie auch Ihre Kunden (und deren Daten) profitieren von einem deutlich höheren Sicherheitsniveau.

 

Digitaler Espresso E-Commerce